Chrome 配置samesite=none方式

最新推荐文章于 2024-07-05 15:50:58 发布
最新推荐文章于 2024-07-05 15:50:58 发布
阅读量8.8k 收藏 18
点赞数 6
分类专栏: Chrome 文章标签: Chrome tomcat nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26441149/article/details/124466759
版权
本文介绍了Chrome浏览器更新后导致的跨域Cookie传输问题及其解决方案。包括修改浏览器配置以允许None状态的SameSite属性,使用Nginx配置代理以设置SameSite=None和secure属性,以及在Tomcat服务器上配置SameSiteCookies为None。
摘要由CSDN通过智能技术生成

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

Chrome从70版本开始,出现了所谓的同源策略问题。80版本开始默认SameSite=Lax,导致跨域Cookie传输收到限制。

我们遇到的问题是:从其他网站跳转回来的时候,地址栏在正常地址的基础上出现了JSESSIONID=XXXXXXXXX,导致原有session失效。

二、解决方案

1.方案一:修改浏览器配置

此方式比较粗暴,直接将浏览器的SameSite的属性设置回到以前的None状态。但缺点是每台客户端机器都需要配置,适用于用户范围可控的情景。

据说从91版本开始,此方式失效,未进行测试。。。。

1)chrome地址栏输入chrome://flags
2)通过禁用“SameSite by default cookies”和“Cookies without SameSite must be secure”功能开关
3)重新启动浏览器

方式2和方式3是设置samesite=none,且显式声明secure=true,只支持https且samesite=none的情况下跨域携带cookie。

2.方案二:使用Nginx

# 设置一个变量,用于判断是否增加SameSite=None属性
set $cookiePathMagicFlag '';
# 00~69 之间Chrome, 设置为-evil'
if ($http_user_agent ~ "Chrome/([0-6][0-9]\.)"){

    set $cookiePathMagicFlag '-evil';
}

location / {
    # nginx其他配置
    # xxxxxxxxx
    # 增加SameSite=None、secure配置
    proxy_cookie_path /$cookiePathMagicFlag "/; httponly; secure; SameSite=None";
}

3.方案三:若服务器为Tomcat,可使用以下方式(Tomcat8.5.x以上版本)

修改conf/context.xml

<?xml version="1.0" encoding="UTF-8"?>
<!-- The contents of this file will be loaded for each web application -->
<Context>

    <!-- Default set of monitored resources. If one of these changes, the    -->
    <!-- web application will be reloaded.                                   -->
    <WatchedResource>WEB-INF/web.xml</WatchedResource>
    <WatchedResource>${catalina.base}/conf/web.xml</WatchedResource>

    <!-- Uncomment this to disable session persistence across Tomcat restarts -->
    <!--
    <Manager pathname="" />
    -->
    <!-- 配置sameSiteCookies=None -->
	<CookieProcessor sameSiteCookies ="None" />
</Context>
吹牛不用打草稿
关注
专栏目录
php 解决Chrome Cookie 的 SameSite 属性导致无法写入cookie问题
JineD的博客
06-10 5371
今天在做前后端分离项目的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www.chromestatus.com/feature/5088147346030592和https://www.c
Cookie 的 SameSite 属性
weixin_55802150的博客
08-03 1628
不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
谷歌Chrome 80 中 Iframe 跨域 Cookie 的 Samesite 问题
最新发布
weixin_39459811的博客
07-05 495
将SameSite属性值改为None,同时将secure属性设置为true。从Chrome 51开始,浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。路径认证时,会先去判断cookie中的token-xxx值,如果没有会接着去判断请求头中token-xxx的值。主服务系统是通过token校验的,则跨越时,可以用token-xxx代替Cookie方式作验证,该设置当前默认是关闭的,但在Chrome 80之后,该功能默认已开启。就是关闭浏览器的CSRF。
should-send-same-site-none:一个简单的实用程序,用于为“ SameSite = None” cookie属性检测不兼容的用户代理
05-17
应该不发送相同的站点 该模块随附: 一个小的实用程序函数isSameSiteNoneCompatible ,用于为SameSite=None cookie属性检测不兼容的用户代理(浏览器)。 甲快递中间件shouldSendSameSiteNone用于自动地除去SameSite=None reqesting客户端时,从响应的头是不兼容SameSite=None 。 (注意:在适用的情况下,您仍然有责任添加“安全” cookie属性。) 背景 在2020年2月推出的Chrome 80中,Chrome会将未声明SameSite值的Cookie视为SameSite=Lax Cookie。 预计其他浏览器供应商将效仿Google的领导。 (请参阅此)。 如果您管理跨站点Cookie,则需要应用SameSite = None; 安全设置这些cookie。 但是,某些浏览器(包括某些版本的Chr
SpringBoot解决“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
weixin_66709611的博客
03-13 2248
在yaml配置文件中声明即可(注意此做法不安全不是https请求将不会润许发送cookie)
如何在Chrome浏览器中临时修改SameSite=None和Secure
pocher的博客
06-13 1442
如何在Chrome浏览器中临时修改SameSite=None和Secure
跨域cookie失效问题 SameSite=None和secure
烟溪彭于晏的博客
11-11 7673
跨域使用cookie遇到的天坑,客户端在给服务器发送请求的时候需要携带cookie,因为前后端分离有跨域问题,chrome和edge要跨域携带cookie的话需要设置cookie的SameSite = None,同时又要求设置了cookie的SameSite = None就必须设置cookie的secure=true,如果设置了secure=true 理论上必须是Https协议才会携带cookie.为了所有浏览器可以使用Http协议携带cookie,后续使用nginx,不进行跨域了。
egg 添加 samesite=none, 出现感叹号
qq_32486011的博客
06-10 1199
设置 samesite 前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效,所以我们先配置 https 先生成ssl 证书 可以查看这里 在本地开发环境配置文件里 config.local.js npm i egg-cluster --save config.cluster = { https: { key: path.join(__dirname, "../private.pem"), // https 证书绝对目录 cert: path
chrome80默认SameSite导致iframe无法获取cookie问题解决方法
weixin_43827743的博客
03-04 3758
项目背景及问题定位 项目背景 A网站(假设为http://SameSite.a.com)作为iframe内嵌在B网站(假设为http://test.a.com)。在B网站中加载A网站的时候,自动登录失效,导致接口一直重调。 问题定位 初步分析,A网站为第三方页面,将A网站直接在外部打开可以单独访问,排除A网站的问题 更换浏览器,在火狐和Edge中,A网站可正常在iframe中加载。初步定位为浏览器兼容问题 对比不能正常加载和正常加载的chrome浏览器版本,都更新到最新的89版本。发现状态没变.
ThinkPHP跨域设置”samesite=none”和“secure”参数的方法和注意事项
wbryze的博客
03-29 3458
因开发插件需要,将另一个网站的数据通过AJAX添加到ThinkPHP制作 的一个网站上的购物车。 需要网站支持跨域请求同步COOKE,具体操作如下: /public/index.php 第二行添加以下代码: ACAO=′∗′;header("Access−Control−Allow−Credentials:true");//允许COOKIE共享header("XDomainRequestAllowed:1");//允许COOKIE共享IEif(!empty(ACAO = '*'; header("Acces
chrome浏览器85版本后samesite=none默认策略变更问题
随风丶逆风的博客
11-18 6410
关于chrome浏览器samesite属性导致cookie跨域失效的可以阅读我之前的博客:《谷歌浏览器新版本Chrome 80默认SameSite导致跨域登录状态失效的问题》 谷歌浏览器85版本后会启动两个默认策略。 根据Cookies default to SameSite=Lax中的描述,在85正式版本之后默认启动samesite=Lax。 根据Reject insecure SameSite=None cookies中的描述,85正式版之后默认拒绝非安全的samesite=none的cooki
只有当cookie设置为“samesite=none”和“secure”时_Web 前端新手应该了解的Cookie知识...
weixin_39860732的博客
11-28 7348
正在学习web前端的朋友对Cookie应该不陌生,Cookie是辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据,是web前端中比较重要的知识点。今天小编就为大家带来了这篇文章,让我们一起来看一看Web 前端新手应该了解的Cookie知识。一、Cookie的出现浏览器和服务器之间的通信少不了HTTP协议,但是因为HTTP协议是无状态的,所以服务器并不知道上一次浏览器做了什么样的...
Cookie-SameSite属性 前端请求不带cookie的问题解决方案
一岁就可帅的博客
06-16 1248
最近遇到了前端请求后端不带cookie的问题,请求时header里面就是没有cookie查看响应应该是这个问题SameSite是一个cookie属性,用于控制浏览器是否在跨站点请求中发送cookie。
Nginx配置解决Chrome浏览器SameSite跨域问题
shijin741231的博客
08-31 6132
Nginx配置解决Chrome浏览器SameSite跨域问题 最近联调接口,反复遇到chrome跨域问题,本来解决也很顺畅,结果突然有一个客户非要使用chrome 63的版本。。。。。。我折腾半天也没太好的办法,只能通过nginx去识别chrome浏览器版本决定返回cookie值来解决。 参考链接: 参考链接: Chrome修改了cookie安全策略. 参考链接: 通过Nginx设置HttpOnly Secure SameSite参数解决Cookie跨域丢失. 参考链接: 关于IE下面iframe跨域 co
Springboot应用中设置Cookie的SameSite属性,跨域支持
热门推荐
seapeak007的博客
02-07 1万+
转自:Springboot应用中设置Cookie的SameSite属性 - SpringBoot中文社区 - 博客园 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chro...
跨站请求,nginx配置
weixin_39048143的博客
09-06 1122
location /front/ { proxy_set_header Host $host; proxy_set_header X-Forwarded-For $remote_addr; proxy_set_header X-Real-IP $remote_addr; #添加设置sameSite 为none ...
SpringBoot解决(谷歌Chrome) --SameSite属性
天上飞的云传奇
11-06 2312
转载自 https://springboot.io/t/topic/2602 早点看到就好了,按照之前的SpringBoot配置跨域,只有火狐可以通过。 谷歌和内核一样的Edge都失败了。 也是之前知道谷歌增加了个啥,可以通过配置浏览器解决。但是总不能每访问网站的人都 配置自己的浏览器吧 今天打开看了一下,发现有个警告 Edge报的警告。然后我搜到了这个文章。 方法一:服务端设置 Set-cookie: key=value; SameSite=None; Secure Set-cookie: key=
前端报错:"尝试通过Set-Cookie标头设置Cookie时被阻止,因为它具有"SameSite=None"属性,但没有使用"SameSite=None"所必需的"Secure"属性.
06-02
这是因为浏览器对 Cookie 的安全策略进行了升级,要求在设置 SameSite=None 属性时必须同时设置 Secure 属性。 在 Web 应用中,为了防止跨站点请求伪造攻击,通常会使用 CSRF Token 来进行验证。而为了确保 CSRF Token 能够正确地在跨站点请求中传递,需要将 Cookie 的 SameSite 属性设置为 None。 但是在 Chrome 80 版本之后,浏览器升级了 SameSite 策略,要求在设置 SameSite=None 属性时必须同时设置 Secure 属性。这是为了确保 Cookie 只能通过 HTTPS 进行传输,从而防止中间人攻击。 要解决这个问题,一种方法是将网站迁移到 HTTPS 协议上。另一种方法是在设置 SameSite=None 属性时,同时设置 Secure 属性。例如,在 Django 中,可以在设置 CSRF Token 的 Cookie 时,添加以下代码: ```python response.set_cookie('csrftoken', token, samesite='None', secure=True) ``` 这样就能够消除上述报错了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值